session和cookie机制

2023.10.23

域对象

        先总结一下到目前位置我所了解的域对象：

• request（对应的类名：HttpServletRequest）

  • 请求域（请求级别的）

• session（对应的类名：HttpSession）

  • 会话域（用户级别的）

• application（对应的类名：ServletContext）

  • 应用域（项目级别的，所有用户共享的。）

• 这三个域对象的大小关系

  • request < session < application

• 他们三个域对象都有以下三个公共的方法：

  • setAttribute（向域当中绑定数据）

  • getAttribute（从域当中获取数据）

  • removeAttribute（删除域当中的数据）

• 使用原则：尽量使用小的域。

Session

什么是session？

         session在网络应用中称为“会话控制”，是服务器为了保存用户状态而创建的一个特殊的对象。简而言之，session就是一个对象，用于存储信息。 

• session对象是存储在服务器端的
• 一个session对象对应一个对话
• 一个对话包含多次请求

session如何获取？

HttpSession session = request.getSession();

        该行代码能从服务器中获取当前的session对象，若没有获取到任何session对象，则新建一个。

HttpSession session = request.getSession(false);

        该行代码能从服务器中获取当前的session对象，若没有获取到任何session对象，则返回null。

为什么需要session对象来保存会话状态？

        因为HTTP协议是一种无状态协议。（无状态：请求的时候，浏览器和服务器是连接的，但是请求结束之后，连接就断了。之所以这样设计是为了减少服务器的压力 ）  

session对象的实现原理

        在web服务器中有一个session列表。类似于map集合。这个map集合的key存储的是sessionid，这个map集合的value存储的是对应的session对象。

        用户发送第一次请求的时候:服务器会创建一个新的session对象，同时给session对象生成一个id，然后web服务器会将session的id发送给浏览器，浏览器将session的id保存在浏览器的缓存中。

        用户发送第二次请求的时候:会自动将浏览器缓存中的sessionid自动发送给服务器，服务器获取到sessionid,然后从session列表中查找到对应的session对象。

为什么关闭浏览器会话就结束了？

        关闭浏览器之后，浏览器中保存的sessionid消失，下次重新打开浏览器之后，浏览器缓存中没有这个sessionid，自然找不到服务器中对应的session对象，所以此时相当于会话结束了。

        但是服务器并不知道你关闭了浏览器，所以此时session对象可能仍然存在于服务器中，此时session对象的销毁需要依靠session的超时机制。 还有一种可能，系统提供了“安全退出”选项，点了这个按钮，服务器就知道你退出了，然后服务器就会销毁session对象。

Cookie禁用了，session还能找到吗？

        cookie禁用是什么意思？服务器正常发送cookie给浏览器，但是浏览器不要了。拒收了。并不是服务器不发了。此时session就找不到了，每一次请求都会获取到新的session对象。

        cookie禁用了，session机制还是可以实现的。需要使用URL重写机制，如：

         在url后面手动添加sessionid。

Cookie

        cookie和session机制其实都是为了保存会话的状态。

        session的实现原理中，每一个session对象都会关联一个sessionid。例如：JSESSIONID=41C481F0224664BDB28E95081D23D5B8。

        以上的这个键值对数据就是cookie对象。对于session关联的cookie来说，这个cookie是被保存在浏览器的“运行内存”当中。只要浏览器不关闭，用户再次发送请求的时候，会自动将运行内存中的cookie发送给服务器。服务器就是根据Cookie中的JSESSIONID来找到对应的session对象的。

cookie保存在什么地方？

        cookie最终是保存在浏览器客户端上的。 既可以保存在运行内存中。（浏览器只要关闭cookie就消失了） 也可以保存在硬盘文件中。（永久保存）

cookie的经典案例

        1、京东商城在未登录的情况下，向购物车中放几件商品。然后关闭商城，再次打开浏览器，访问京东商城的时候，购物车中的商品还在，这是怎么做到的？我没有登录，为什么购物车中还有商品？      

• 将购物车中的商品编号放到cookie当中，cookie保存在硬盘文件当中。这样即使关闭浏览器。硬盘上的cookie还在。下一次再打开京东商城的时候，查看购物车的时候，会自动读取本地硬盘中存储的cookie，拿到商品编号，动态展示购物车中的商品。

  • 京东存储购物车中商品的cookie可能是这样的：productIds=xxxxx,yyyy,zzz,kkkk

  • 注意：cookie如果清除掉，购物车中的商品就消失了。

        2、126邮箱中有一个功能：十天内免登录。 该功能是如何实现的？

• 用户输入正确的用户名和密码，并且同时选择十天内免登录。登录成功后。浏览器客户端会保存一个cookie，这个cookie中保存了用户名和密码等信息，这个cookie是保存在硬盘文件当中的，十天有效。在十天内用户再次访问126的时候，浏览器自动提交126的关联的cookie给服务器，服务器接收到cookie之后，获取用户名和密码，验证，通过之后，自动登录成功。

• 怎么让cookie失效？

  • 十天过后自动失效。

  • 或者改密码。

  • 或者在客户端浏览器上清除cookie。

---

        cookie机制和session机制其实都不属于java中的机制，实际上cookie机制和session机制都是HTTP协议的一部分。php开发中也有cookie和session机制，只要是你是做web开发，不管是什么编程语言，cookie和session机制都是需要的。

        HTTP协议中规定：任何一个cookie都是由name和value组成的。name和value都是字符串类型的。

java的servlet对cookie提供了哪些支持？   

• 提供了一个Cookie类来专门表示cookie数据。jakarta.servlet.http.Cookie;

• java程序怎么把cookie数据发送给浏览器呢？response.addCookie(cookie);

        在HTTP协议中是这样规定的：当浏览器发送请求的时候，会自动携带该path下的cookie数据给服务器。即访问不同路径对应的cookie数据不一样，比如访问京东会携带京东的cookie，访问淘宝会携带淘宝的cookie。

关于cookie的有效时间设置

• 怎么用java设置cookie的有效时间

  • cookie.setMaxAge(60 * 60); 设置cookie在一小时之后失效。

• 没有设置有效时间：默认保存在浏览器的运行内存中，浏览器关闭则cookie消失。

• 只要设置cookie的有效时间 > 0，这个cookie一定会存储到硬盘文件当中。

• 设置cookie的有效时间 = 0 呢？

  • cookie被删除，同名cookie被删除。

• 设置cookie的有效时间 < 0 呢？

  • 保存在运行内存中。和不设置有效时间一个效果。

浏览器发送cookie给服务器了，服务器中的java程序怎么接收？

Cookie[] cookies = request.getCookies(); // 这个方法可能返回null
if(cookies != null){
    for(Cookie cookie : cookies){
        // 获取cookie的name
        String name = cookie.getName();
        // 获取cookie的value
        String value = cookie.getValue();
    }
}